Afegir un certificat a l’Access Gateway de Citrix

Per tal de afegir els certificats al CAG (Citrix Access Gateway) des d’una entitat certificadora CA privada de Microsoft cal convertir primer els certificats al format PEM que pot interpretar el CAG.

Primer de tot cal exportar el certificat del IIS al format .PFX (el certificat ha de posar el nom FQDN vàlid des de l’exterior).

També cal disposar de la cadena de certificats de la CA. Per obtenir-la anem a http://<servidor>/CERTSRV i baixem la “cadena de certificados” que estarà en format DER.

 Aleshores baixem el software OPENSSL (es llicència GNU) i fem les següents comandes:

• De .PFX a .PEM:

openssl pkcs12 -in <certfile.pfx> -nodes -passin pass:<password> -out <outfile.pem>

• DE DER (o .cer) a PEM:

openssl x509 -in <certfile.cer> -inform DER -out <outfile.pem> -outform PEM

Fent això ja funciona el CAG.

Ara només cal publicar el certificat .CER de la CA Root perquè s’instal·li en els PCs clients.

Configuració de Cisco IP Phone Communicator per accés Citrix Access Gateway

Configuració de Cisco IP Phone Communicator per accés Citrix Access Gateway
Podem utilitzar el software Cisco IP Phone Communicator contra una centraleta Call Manager o Call Manager Express des de fora de la nostra xarxa.

Per tal de realitzar això cal configurar el Citrix Access Gateway CAG d’aquesta manera:
- Que disposi d’un Pool de IPs per asignar una IP al servidor
- Que pugui fer connexions a la xarxa interna i a la xarxa de telefon
(cal tenir acces al Call manager, al servidor TFTP i a qualsevol telefon que vulguem trucar)

També cal obrir el firewall perquè es pugui accedir des de la xarxa del CAG (generalment la DMZ) a la xarxa de telefonia i al CallManager.

Després cal que posem com a adreça IP del IP Softphone la adreça que ens ha assignat el CAG del Pool que tenim definit.
Per tal de automatitzar això, cal disposar de la versió 1.2 o superior del Cisco SoftPhone. Aleshores a la configuració de xarxa trobem una casella que ens deixa posar una URL.

En aquesta URL posem la ruta cap a un ASP (el getip.asp) que ens dóna la adreça IP que tenim assignada pel CAG.

Aquest ASP el configura el Call Manager si habilitem el HTTP, i es troba en aquesta URL:

http:///communicatorloads/communicator/getIP.asp

Situem aquest arxiu getip.asp a qualsevol servidor de la xarxa interna amb IIS, sota la carpeta c:\inetpub\wwwroot (o qualsevol que sigui la ruta de la pàgina per defecte) i ens dóna aquesta sortida:

172.16.240.37 /* tapiaddress.java result = provider.syncTapiObject.
SetLineAudioReceiveAddress(deviceID[0],tapiHLine, extVersion[0],
t.getIPAddress(), t.getUDPPort(), t.usesLowBandwidthCodec()); */

Aleshores en el PC client només tenim que connectar amb el CAG, validar la VPN-SSL, arrencar el software de Cisco que es connectarà amb el getip.asp, i ja podrem usar aquest telefon com si estiguèssim a la mateixa xarxa interna.

L’article específic per Citrix el podem trobar a:

How to Enable the Cisco IP Communicator SoftPhone Through Access Gateway

I podem seguir aquest per qualsevol VPN:
How to Use Cisco IP SoftPhone over VPN

Instal·lació de Citrix Access Gateway 4.2.1 sobre VMWARE

Pas 1: REQUISITS

1: Baixar VMWARE Server Beta (cal el codi de producte)

http://www.vmware.com

2: Baixar CD de Citrix Access Gateway 4.2.1

http://www.mycitrix.com

3: Baixar el arxiu de llicència

http://ww.mycitrix.com

- Cal demanar un número de sèrie de Citrix Access Gateway.

- Posar aquest número al activador de llicències.

- Introduïr el nom extern del host (nom DNS en minúscules)

- Baixar arxiu .lic al PC client.

3: Aconseguir el redireccionador de PIPE

Named Pipe TCP Proxy:

http://shvechkov.tripod.com/nptp.html

4: Necessitem un PC amb dues tarjes de xarxa, una connectada a la LAN, i l’altra a la DMZ. Per evitar problemes de seguretat desconnectem el TCP/IP de la tarja DMZ.

Pas 2: INSTAL·LACIÓ

1: Crear màquina virtual de VMWARE server

- Tipus: Other

- Disc IDE recomanat 40.0 Gb (pot ser dinàmic)

- 2 tarjes Ethernet (Bridged contra la tarja física de la DMZ)

- 1 COM1 redireccionat a \\.\pipe\com1v

2: Modificar el arxiu .vmx

- Cal afegir

ethernet0.virtualDev = e1000

ethernet1.virtualDev = e1000

per convertir les tarjes Ethernet en una Intel E1000

2: Carregar ISO de CAG 4.2.1 al CD Virtual de la maquina virtual.

3: Arrencar el Named Pipes TCP Proxy. Definir el nom \\.\pipe\com1v. Definir el port 567

4: Fer un ‘telnet localhost 567′

5: Arrenquem la màquina virtual

6: Revisem la instal·lació. Apareix una barra d’estat del 0 ……. 100. Triga uns 20 minuts.

7: Desconnectem el CDROM virtual

8: Reiniciem el servidor

PAS 3: CONFIGURACIÓ

1: Arrenca la màquina virtual amb el CAG instal·lat.

2: A la finestra del Telnet, entrem com a root / rootadmin. (es probable que el Return no funcioni correctament. Cal fer Ctrl+return per validar i Ctrl+Backspace per borrar)

3: fem la opció 0 “express Setup” i definim una adreça IP de la nostra DMZ, també la mascara i el gateway.

4: Guardem els canvis

5: Ja podem connectar-nos a https://:9001 per la gestió del appliance virtual

6: Baixem el client d’administració (access gateway administration tool)

7: Anem a “this Gateway” / licensing i pujem el arxiu de llicències.

8: A general networking posem el External Public FQDN, que ha de coincidir amb el nom del arxiu .lic

Instal·lació del MSDTC en cluster a Windows 2003

Cal crear un recurs a ma per evitar que apareguin errors al event viewer com aquest:

Event Type: Warning
Event Source: MSDTC Client
Event Category: Cluster
Event ID: 4148
Date: 2/14/2007
Time: 10:45:37 AM
User: N/A
Computer: LEO
Description:
The MS DTC service was started before the cluster service on this cluster node. This service will now be stopped. If MSDTC has been configured to run on a cluster, the MS DTC resource will be brought online by the cluster service when it starts. Error Specifics: d:\nt\com\complus\dtc\shared\mtxclu\mtxclusetuphelper.cpp:932, Pid: 552, CmdLine: “C:\WINDOWS\cluster\resrcmon.exe” -e 1152 -m 1164 -p 468

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

El document de la KB de Microsoft el podem veure aquí